Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Identity and Access Management dans AWS Service Catalog
L'accès à AWS Service Catalog nécessite des informations d'identification. Ces informations d'identification doivent être autorisées à accéder à AWS des ressources, telles qu'un AWS Service Catalog portefeuille ou un produit. AWS Service Catalog s'intègre à Gestion des identités et des accès AWS (IAM) pour vous permettre d'accorder aux AWS Service Catalog administrateurs les autorisations dont ils ont besoin pour créer et gérer des produits, et d'accorder aux utilisateurs AWS Service Catalog finaux les autorisations dont ils ont besoin pour lancer des produits et gérer les produits provisionnés. Ces politiques sont créées et gérées par AWS ou individuellement par les administrateurs et les utilisateurs finaux. Pour contrôler l'accès, vous devez associer ces politiques aux utilisateurs, aux groupes et aux rôles que vous utilisez avec AWS Service Catalog.
## Public ciblé
Les autorisations dont vous disposez *avec* Gestion des identités et des accès AWS (IAM) peuvent dépendre du rôle que vous jouez. AWS Service Catalog
Les autorisations dont vous disposez *via* Gestion des identités et des accès AWS (IAM) peuvent également dépendre du rôle que vous jouez. AWS Service Catalog
**Administrateur** : en tant qu' AWS Service Catalog administrateur, vous avez besoin d'un accès complet à la console d'administration et d'autorisations IAM qui vous permettent d'effectuer des tâches telles que la création et la gestion de portefeuilles et de produits, la gestion des contraintes et l'octroi d'accès aux utilisateurs finaux.
**Utilisateur final** : avant que vos utilisateurs finaux puissent utiliser vos produits, vous devez leur accorder des autorisations leur permettant d'accéder à la console utilisateur AWS Service Catalog final. Ils peuvent également disposer d'autorisations pour lancer des produits et gérer des produits provisionnés.
**Administrateur IAM** : si vous êtes administrateur IAM, vous souhaiterez peut-être en savoir plus sur la manière dont vous pouvez rédiger des politiques pour gérer l'accès à. AWS Service Catalog Pour consulter des exemples de politiques AWS Service Catalog basées sur l'identité que vous pouvez utiliser dans IAM, consultez. [AWS politiques gérées pour AWS Service Catalog AppRegistry](security-iam-awsmanpol.md)
# Exemples de politiques basées sur l'identité pour AWS Service Catalog
**Topics**
+ [Accès à la console pour les utilisateurs finaux](#permissions-end-users-console)
+ [Accès aux produits pour les utilisateurs finaux](#permissions-end-users-product)
+ [Exemples de politiques pour la gestion des produits approvisionnés](#example-policies)
## Accès à la console pour les utilisateurs finaux
Les stratégies ****`AWSServiceCatalogEndUserFullAccess`**** et ****`AWSServiceCatalogEndUserReadOnlyAccess`**** accordent l'accès à la vue de la console Utilisateur final d’ AWS Service Catalog . Lorsqu'un utilisateur disposant de l'une de ces politiques choisit AWS Service Catalog l'une de ces politiques AWS Management Console, la vue de la console de l'utilisateur final affiche les produits qu'il est autorisé à lancer.
Avant que les utilisateurs finaux puissent lancer avec succès un produit AWS Service Catalog auquel vous donnez accès, vous devez leur fournir des autorisations IAM supplémentaires pour leur permettre d'utiliser chacune des AWS ressources sous-jacentes du AWS CloudFormation modèle d'un produit. Par exemple, si un modèle de produit inclut Amazon Relational Database Service (Amazon RDS), vous devez accorder aux utilisateurs les autorisations Amazon RDS pour lancer le produit.
Pour savoir comment permettre aux utilisateurs finaux de lancer des produits tout en appliquant les autorisations de moindre accès aux AWS ressources, voir. [Utilisation des AWS Service Catalog contraintes](constraints.md)
Si vous appliquez la stratégie **`AWSServiceCatalogEndUserReadOnlyAccess`**, vos utilisateurs ont accès à la console Utilisateur final, mais ils n'auront pas les autorisations dont ils ont besoin pour lancer des produits et gérer des produits provisionnés. Vous pouvez accorder ces autorisations directement à un utilisateur final à l'aide d'IAM, mais si vous souhaitez limiter l'accès des utilisateurs finaux aux AWS ressources, vous devez associer la politique à un rôle de lancement. Vous pouvez ensuite AWS Service Catalog appliquer le rôle de lancement à une contrainte de lancement pour le produit. Pour plus d'informations sur l'application d'un rôle de lancement et les limitations d'un rôle de lancement, et trouver un exemple de rôle de lancement, consultez [AWS Service Catalog Contraintes de lancement](constraints-launch.md).
**Note**
Si vous accordez aux utilisateurs des autorisations IAM pour les AWS Service Catalog administrateurs, la vue de la console de l'administrateur s'affiche à la place. N'accordez pas ces autorisations à des utilisateurs finaux, sauf si vous voulez qu'ils aient accès à la vue de la console Administrateur.
## Accès aux produits pour les utilisateurs finaux
Avant que les utilisateurs finaux puissent utiliser un produit auquel vous donnez accès, vous devez leur fournir des autorisations IAM supplémentaires pour leur permettre d'utiliser chacune des AWS ressources sous-jacentes du CloudFormation modèle d'un produit. Par exemple, si un modèle de produit inclut Amazon Relational Database Service (Amazon RDS), vous devez accorder aux utilisateurs les autorisations Amazon RDS pour lancer le produit.
Si vous appliquez la stratégie **`AWSServiceCatalogEndUserReadOnlyAccess`**, vos utilisateurs ont accès à la vue de la console Utilisateur final, mais ils n'auront pas les autorisations dont ils ont besoin pour lancer des produits et gérer des produits provisionnés. Vous pouvez accorder ces autorisations directement à un utilisateur final dans IAM, mais si vous souhaitez limiter l'accès des utilisateurs finaux aux AWS ressources, vous devez associer la politique à un rôle de lancement. Vous pouvez ensuite AWS Service Catalog appliquer le rôle de lancement à une contrainte de lancement pour le produit. Pour plus d'informations sur l'application d'un rôle de lancement et les limitations d'un rôle de lancement, et trouver un exemple de rôle de lancement, consultez [AWS Service Catalog Contraintes de lancement](constraints-launch.md).
## Exemples de politiques pour la gestion des produits approvisionnés
Vous pouvez créer des stratégies personnalisées pour mieux répondre aux exigences de sécurité de votre organisation. Les exemples suivants expliquent comment personnaliser le niveau d'accès pour chaque action avec la prise en charge des niveaux utilisateur, rôle et compte. Vous pouvez accorder aux utilisateurs l'accès pour afficher, mettre à jour, résilier et gérer des produits provisionnés créés uniquement par ces utilisateurs, ou créés par d'autres personnes également sous leur rôle ou le compte auquel ils sont connectés. Cet accès est hiérarchique : l'octroi d'un accès au niveau du compte accorde également un accès au niveau du rôle et un accès au niveau de l'utilisateur, tandis que l'ajout d'un accès au niveau du rôle accorde également un accès au niveau utilisateur mais pas au niveau du compte. Vous pouvez spécifier ces accès dans la stratégie JSON à l'aide d'un bloc `Condition` comme `accountLevel`, `roleLevel` ou `userLevel`.
Ces exemples s'appliquent également aux niveaux d'accès pour les opérations d'écriture d' AWS Service Catalog API : `UpdateProvisionedProduct` et`TerminateProvisionedProduct`, et de lecture : `DescribeRecord``ScanProvisionedProducts`, et`ListRecordHistory`. Les opérations d'API `ScanProvisionedProducts` et `ListRecordHistory` utilisent une entrée appelée `AccessLevelFilterKey`, et les valeurs de cette clé correspondent aux niveaux du bloc `Condition` présentés ici (`accountLevel` équivaut à la valeur « Account » pour `AccessLevelFilterKey`, `roleLevel` à « Role », et `userLevel` à « User »). Pour plus d'informations, consultez le [Guide du développeur du Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/dg/).
**Topics**
+ [Accès administrateur complet aux produits approvisionnés](#full-admin)
+ [Accès des utilisateurs finaux aux produits fournis](#examples-end-user)
+ [Accès administrateur partiel aux produits approvisionnés](#partial-admin)
### Accès administrateur complet aux produits approvisionnés
La stratégie suivante donne un accès complet en lecture et écriture aux produits provisionnés et enregistrements au sein du catalogue au niveau compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
Cette stratégie est fonctionnellement équivalente à la stratégie suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*"
}
]
}
```
------
Le fait de ne pas spécifier de `Condition` bloc dans une politique pour AWS Service Catalog revient `"servicecatalog:accountLevel"` à spécifier un accès. Notez que l'accès `accountLevel` inclut les accès `roleLevel` et `userLevel`.
### Accès des utilisateurs finaux aux produits fournis
La stratégie suivante restreint l'accès aux opérations de lecture et d'écriture aux seuls produits provisionnés ou enregistrements associés, créés par l'utilisateur actuel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ListRecordHistory",
"servicecatalog:ProvisionProduct",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
### Accès administrateur partiel aux produits approvisionnés
Les deux stratégies ci-dessous, si elles sont toutes deux appliquées au même utilisateur, autorisent un type d'accès que l'on pourrait qualifier d'« accès administrateur partiel » en fournissant un accès en lecture seule complet et un accès en écriture limité. Cela signifie que l'utilisateur peut afficher n'importe quel produit provisionné ou enregistrement associé au sein du compte du catalogue, mais qu'il ne peut exécuter aucune action sur aucun produit provisionné ou enregistrement n'appartenant pas à cet utilisateur.
La première stratégie donne à l'utilisateur l'accès aux opérations d'écriture sur les produits provisionnés créés par l'utilisateur actuel, mais pas aux produits provisionnés créés par d'autres personnes. La deuxième stratégie ajoute un accès complet aux opérations de lecture sur les produits provisionnés créés par tous (utilisateur, rôle ou compte).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeRecord",
"servicecatalog:ListRecordHistory",
"servicecatalog:ScanProvisionedProducts"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
# AWS politiques gérées pour AWS Service Catalog AppRegistry
## AWS politique gérée : `AWSServiceCatalogAdminFullAccess`
Vous pouvez les associer `AWSServiceCatalogAdminFullAccess` à vos entités IAM. AppRegistry associe également cette politique à un rôle de service qui permet AppRegistry d'effectuer des actions en votre nom.
Cette politique accorde des *administrative* autorisations qui permettent un accès complet à la vue de la console de l'administrateur et accorde l'autorisation de créer et de gérer des produits et des portefeuilles.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `servicecatalog`— Permet aux principaux d'accéder à la vue de la console de l'administrateur et de créer et de gérer des portefeuilles et des produits, de gérer les contraintes, d'accorder l'accès aux utilisateurs finaux et d'effectuer d'autres tâches administratives au sein AWS Service Catalog de cette console.
+ `cloudformation`— Autorise AWS Service Catalog toutes les autorisations nécessaires pour répertorier, lire, écrire et étiqueter des AWS CloudFormation piles.
+ `config`— Autorise des autorisations AWS Service Catalog limitées sur les portefeuilles, les produits et les produits approvisionnés via AWS Config.
+ `iam`— Permet aux principaux d'accéder à toutes les autorisations nécessaires pour consulter et créer des utilisateurs de services, des groupes ou des rôles nécessaires à la création et à la gestion de produits et de portefeuilles.
+ `ssm`— Permet AWS Service Catalog de AWS Systems Manager répertorier et de lire les documents de Systems Manager dans le AWS compte courant et dans AWS la région.
Consultez la politique : [AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html).
## AWS politique gérée : `AWSServiceCatalogAdminReadOnlyAccess`
Vous pouvez les associer `AWSServiceCatalogAdminReadOnlyAccess` à vos entités IAM. AppRegistry associe également cette politique à un rôle de service qui permet AppRegistry d'effectuer des actions en votre nom.
Cette politique accorde des *read-only* autorisations qui permettent un accès complet à la vue de la console de l'administrateur. Cette politique n'autorise pas l'accès à la création ou à la gestion de produits et de portefeuilles.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `servicecatalog`— Autorise les principaux à accéder en lecture seule à la vue de la console de l'administrateur.
+ `cloudformation`— Autorise des autorisations AWS Service Catalog limitées pour répertorier et lire les AWS CloudFormation piles.
+ `config`— Autorise des autorisations AWS Service Catalog limitées sur les portefeuilles, les produits et les produits approvisionnés via AWS Config.
+ `iam`— Accorde aux principaux des autorisations limitées leur permettant de consulter les utilisateurs du service, les groupes ou les rôles requis pour créer et gérer des produits et des portefeuilles.
+ `ssm`— Permet AWS Service Catalog de AWS Systems Manager répertorier et de lire les documents de Systems Manager dans le AWS compte courant et dans AWS la région.
Consultez la politique : [AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html).
## AWS politique gérée : `AWSServiceCatalogEndUserFullAccess`
Vous pouvez les associer `AWSServiceCatalogEndUserFullAccess` à vos entités IAM. AppRegistry associe également cette politique à un rôle de service qui permet AppRegistry d'effectuer des actions en votre nom.
Cette politique accorde des *contributor* autorisations permettant un accès complet à la vue de la console de l'utilisateur final, ainsi que l'autorisation de lancer des produits et de gérer les produits provisionnés.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `servicecatalog`— Accorde aux principaux des autorisations complètes sur la vue de la console de l'utilisateur final et la possibilité de lancer des produits et de gérer les produits approvisionnés.
+ `cloudformation`— Autorise AWS Service Catalog toutes les autorisations nécessaires pour répertorier, lire, écrire et étiqueter des AWS CloudFormation piles.
+ `config`— Autorise des autorisations AWS Service Catalog limitées pour répertorier et lire les détails des portefeuilles, des produits et des produits approvisionnés via AWS Config.
+ `ssm`— Permet AWS Service Catalog de lire AWS Systems Manager les documents de Systems Manager dans le AWS compte courant et dans AWS la région.
Consultez la politique : [AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html).
## AWS politique gérée : `AWSServiceCatalogEndUserReadOnlyAccess`
Vous pouvez les associer `AWSServiceCatalogEndUserReadOnlyAccess` à vos entités IAM. AppRegistry associe également cette politique à un rôle de service qui permet AppRegistry d'effectuer des actions en votre nom.
Cette politique accorde des *read-only* autorisations permettant un accès en lecture seule à la vue de la console de l'utilisateur final. Cette politique n'autorise pas le lancement de produits ou la gestion de produits approvisionnés.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `servicecatalog`— Autorise les principaux à accéder en lecture seule à la vue de la console de l'utilisateur final.
+ `cloudformation`— Autorise des autorisations AWS Service Catalog limitées pour répertorier et lire les AWS CloudFormation piles.
+ `config`— Autorise des autorisations AWS Service Catalog limitées pour répertorier et lire les détails des portefeuilles, des produits et des produits approvisionnés via AWS Config.
+ `ssm`— Permet AWS Service Catalog de lire AWS Systems Manager les documents de Systems Manager dans le AWS compte courant et dans AWS la région.
Consultez la politique : [AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html).
## AWS politique gérée : `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog associe cette politique au rôle `AWSServiceRoleForServiceCatalogSync` lié au service (SLR), ce qui permet de synchroniser les modèles AWS Service Catalog d'un référentiel externe avec les produits. AWS Service Catalog
Cette politique accorde des autorisations qui permettent un accès limité aux AWS Service Catalog actions (par exemple, les appels d'API) et aux autres actions de AWS service qui en AWS Service Catalog dépendent.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `servicecatalog`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de limiter l'accès AWS Service Catalog du public APIs.
+ `codeconnections`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de limiter l'accès CodeConnections du public APIs.
+ `cloudformation`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de limiter l'accès AWS CloudFormation du public APIs.
Consultez la politique : [AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html).
**Détails des rôles liés au service**
AWS Service Catalog utilise les informations d'autorisation ci-dessus pour le rôle `AWSServiceRoleForServiceCatalogSync` lié au service créé lorsqu'un utilisateur crée ou met à jour un AWS Service Catalog produit qui utilise. CodeConnections Vous pouvez modifier cette politique à l'aide de la AWS CLI, de l' AWS API ou de la AWS Service Catalog console. Pour plus d'informations sur la création, la modification et la suppression de rôles liés à un service, reportez-vous à la section [Utilisation de rôles liés à un service](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) () pour. SLRs AWS Service Catalog
Les autorisations incluses dans le rôle `AWSServiceRoleForServiceCatalogSync` lié au service permettent d' AWS Service Catalog effectuer les actions suivantes pour le compte du client.
+ `servicecatalog:ListProvisioningArtifacts`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de répertorier les artefacts d'approvisionnement pour un AWS Service Catalog produit donné qui sont synchronisés avec un fichier modèle dans un référentiel.
+ `servicecatalog:DescribeProductAsAdmin`— Permet au rôle de synchronisation des AWS Service Catalog artefacts d'utiliser l'`DescribeProductAsAdmin`API pour obtenir des informations sur un AWS Service Catalog produit et ses artefacts provisionnés associés, qui sont synchronisés avec un fichier modèle dans un référentiel. Le rôle de synchronisation des artefacts utilise le résultat de cet appel pour vérifier la limite de quota de service du produit pour le provisionnement des artefacts.
+ `servicecatalog:DeleteProvisioningArtifact`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de supprimer un artefact provisionné.
+ `servicecatalog:ListServiceActionsForProvisioningArtifact`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de déterminer si des actions de service sont associées à un artefact de provisionnement et de garantir que l'artefact de provisionnement n'est pas supprimé si une action de service est associée.
+ `servicecatalog:DescribeProvisioningArtifact`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de récupérer les détails de l'`DescribeProvisioningArtifact`API, y compris l'ID de validation, qui est fourni dans la `SourceRevisionInfo` sortie.
+ `servicecatalog:CreateProvisioningArtifact`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de créer un nouvel artefact provisionné si une modification est détectée (par exemple, un git-push est validé) dans le fichier modèle source dans le référentiel externe.
+ `servicecatalog:UpdateProvisioningArtifact`— Permet au rôle de synchronisation des AWS Service Catalog artefacts de mettre à jour l'artefact provisionné pour un produit connecté ou synchronisé.
+ `codeconnections:UseConnection`— Permet au rôle de synchronisation des AWS Service Catalog artefacts d'utiliser la connexion existante pour mettre à jour et synchroniser un produit.
+ `cloudformation:ValidateTemplate`— Autorise un accès limité au rôle de synchronisation des AWS Service Catalog artefacts AWS CloudFormation pour valider le format du modèle utilisé dans un référentiel externe et vérifier s'il CloudFormation est compatible avec le modèle.
## AWS politique gérée : `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog attache cette politique au rôle `AWSServiceRoleForServiceCatalogOrgsDataSync` lié au service (SLR), permettant AWS Service Catalog la synchronisation avec. AWS Organizations
Cette politique accorde des autorisations qui permettent un accès limité aux AWS Service Catalog actions (par exemple, les appels d'API) et aux autres actions de AWS service qui en AWS Service Catalog dépendent.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `organizations`— Permet au rôle de synchronisation AWS Service Catalog des données de limiter l'accès au AWS Organizations public APIs.
Consultez la politique : [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html).
**Détails des rôles liés au service**
AWS Service Catalog utilise les informations d'autorisation ci-dessus pour le rôle `AWSServiceRoleForServiceCatalogOrgsDataSync` lié au service créé lorsqu'un utilisateur active l'accès au portefeuille AWS Organizations partagé ou crée un partage de portefeuille. Vous pouvez modifier cette politique à l'aide de la AWS CLI, de l' AWS API ou de la AWS Service Catalog console. Pour plus d'informations sur la création, la modification et la suppression de rôles liés à un service, reportez-vous à la section [Utilisation de rôles liés à un service](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) () pour. SLRs AWS Service Catalog
Les autorisations incluses dans le rôle `AWSServiceRoleForServiceCatalogOrgsDataSync` lié au service permettent d' AWS Service Catalog effectuer les actions suivantes pour le compte du client.
+ `organizations:DescribeAccount`— Permet au rôle AWS Service Catalog Organizations Data Sync de AWS Organizations récupérer les informations associées au compte spécifié.
+ `organizations:DescribeOrganization`— Permet au rôle AWS Service Catalog Organizations Data Sync de récupérer des informations sur l'organisation à laquelle appartient le compte de l'utilisateur.
+ `organizations:ListAccounts`— Permet au rôle AWS Service Catalog Organizations Data Sync de répertorier les comptes de l'organisation de l'utilisateur.
+ `organizations:ListChildren`— Permet au rôle AWS Service Catalog Organizations Data Sync de répertorier toutes les unités organisationnelles (UOs) ou tous les comptes contenus dans l'unité d'organisation parent ou racine spécifiée.
+ `organizations:ListParents`— Permet au rôle AWS Service Catalog Organizations Data Sync de répertorier la racine ou OUs les personnes servant de parent immédiat à l'unité d'organisation ou au compte enfant spécifié.
+ `organizations:ListAWSServiceAccessForOrganization`— Permet au rôle AWS Service Catalog Organizations Data Sync de récupérer la liste des AWS services que l'utilisateur a autorisés à intégrer à son organisation.
## Politiques déconseillées
Les stratégies gérées obsolètes sont les suivantes :
+ **ServiceCatalogAdminFullAccess**— À utiliser à **AWSServiceCatalogAdminFullAccess**la place.
+ **ServiceCatalogAdminReadOnlyAccess**— À utiliser à **AWSServiceCatalogAdminReadOnlyAccess**la place.
+ **ServiceCatalogEndUserFullAccess**— À utiliser à **AWSServiceCatalogEndUserFullAccess**la place.
+ **ServiceCatalogEndUserAccess**— À utiliser à **AWSServiceCatalogEndUserReadOnlyAccess**la place.
Utilisez la procédure suivante pour vous assurer que les autorisations sont accordées à vos administrateurs et à vos utilisateurs finaux à l'aide des stratégies actuelles.
*Pour migrer des politiques obsolètes vers les politiques actuelles, consultez la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) dans Gestion des identités et des accès AWS le Guide de l'utilisateur.*
## AppRegistry mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées AppRegistry depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AppRegistry document.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— Mettre à jour la politique gérée | AWS Service Catalog a mis à jour la `AWSServiceCatalogSyncServiceRolePolicy` politique pour `codestar-connections` la remplacer par`codeconnections`. | 7 mai 2024 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Mettre à jour la politique gérée | AWS Service Catalog a mis à jour la `AWSServiceCatalogAdminFullAccess` politique afin d'inclure les autorisations requises pour que l' AWS Service Catalog administrateur puisse créer le rôle `AWSServiceRoleForServiceCatalogOrgsDataSync` lié au service (SLR) dans son compte. | 14 avril 2023 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy)— Nouvelle politique gérée | AWS Service Catalog a ajouté le`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`, qui est attaché au rôle `AWSServiceRoleForServiceCatalogOrgsDataSync` lié au service (SLR), AWS Service Catalog permettant la synchronisation avec. AWS Organizations Cette politique permet un accès limité aux AWS Service Catalog actions (par exemple, les appels d'API) et aux autres actions de AWS service qui en AWS Service Catalog dépendent. | 14 avril 2023 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Mettre à jour la politique gérée | AWS Service Catalog a mis à jour la `AWSServiceCatalogAdminFullAccess` politique afin d'inclure toutes les autorisations pour l' AWS Service Catalog administrateur et de créer une compatibilité avec AppRegistry. | 12 janvier 2023 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— Nouvelle politique gérée | AWS Service Catalog a ajouté la `AWSServiceCatalogSyncServiceRolePolicy` politique, qui est attachée au rôle `AWSServiceRoleForServiceCatalogSync` lié au service (SLR). Cette politique permet AWS Service Catalog de synchroniser les modèles d'un référentiel externe avec les AWS Service Catalog produits. | 18 novembre 2022 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions)— Nouveau rôle lié au service | AWS Service Catalog a ajouté le rôle `AWSServiceRoleForServiceCatalogSync` lié au service (SLR). Ce rôle est requis AWS Service Catalog pour utiliser CodeConnections et créer, mettre à jour et décrire les artefacts de AWS Service Catalog provisionnement pour un produit. | 18 novembre 2022 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Politique gérée mise à jour | AWS Service Catalog a mis à jour la `AWSServiceCatalogAdminFullAccess` politique pour inclure toutes les autorisations requises pour un AWS Service Catalog administrateur. La politique identifie les actions spécifiques que l'administrateur peut effectuer sur toutes les AWS Service Catalog ressources, telles que créer, décrire, supprimer, etc. En outre, la politique a été modifiée pour prendre en charge une fonctionnalité récemment lancée, le contrôle d'accès basé sur les attributs (ABAC) pour AWS Service Catalog. ABAC vous permet d'utiliser la `AWSServiceCatalogAdminFullAccess` politique comme modèle pour autoriser ou refuser des actions sur les AWS Service Catalog ressources en fonction de balises. Pour plus d'informations sur l'ABAC, voir À [quoi sert l'ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans. AWS*Gestion des identités et des accès AWS* | 30 septembre 2022 |
| AppRegistry a commencé à suivre les modifications | AppRegistry a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 15 septembre 2022 |
# Utilisation de rôles liés à un service pour AWS Service Catalog
AWS Service Catalog utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Service Catalog Les rôles liés au service sont prédéfinis par AWS Service Catalog et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Service Catalog car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Service Catalog définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Service Catalog peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Service Catalog ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés aux services, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés aux **services**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations des rôles liés à un service pour `AWSServiceRoleForServiceCatalogSync`
AWS Service Catalog peut utiliser le rôle lié au service nommé **`AWSServiceRoleForServiceCatalogSync`**— Ce rôle lié au service est requis pour utiliser CodeConnections et créer, mettre AWS Service Catalog à jour et décrire les artefacts de AWS Service Catalog provisionnement pour un produit.
Le rôle lié à un service `AWSServiceRoleForServiceCatalogSync` approuve les services suivants pour endosser le rôle :
+ `sync.servicecatalog.amazonaws.com`
La politique d'autorisations de rôle nommée **AWSServiceCatalogSyncServiceRolePolicy** AWS Service Catalog permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `Connection` sur `CodeConnections`
+ Action : `Create, Update, and Describe` activée `ProvisioningArtifact` pour un AWS Service Catalog produit
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
### Création du rôle lié à un service `AWSServiceRoleForServiceCatalogSync`
Il n'est pas nécessaire de créer manuellement le rôle `AWSServiceRoleForServiceCatalogSync` lié à un service. AWS Service Catalog crée automatiquement le rôle lié au service pour vous lorsque vous l'établissez CodeConnections dans AWS Management Console, dans ou dans l' AWS CLI API. AWS
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De même, si vous utilisiez le AWS Service Catalog service avant le 18 novembre 2022, date à laquelle il a commencé à prendre en charge les rôles liés au service, vous avez AWS Service Catalog créé le `AWSServiceRoleForServiceCatalogSync` rôle dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez CodeConnections, AWS Service Catalog crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d'utilisation des produits **synchronisés AWS Service Catalog **. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `sync.servicecatalog.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Autorisations des rôles liés à un service pour `AWSServiceRoleForServiceCatalogOrgsDataSync`
AWS Service Catalog peut utiliser le rôle lié au service nommé **`AWSServiceRoleForServiceCatalogOrgsDataSync`**— Ce rôle lié au service est obligatoire pour que les AWS Service Catalog organisations puissent rester synchronisées avec. AWS Organizations
Le rôle lié à un service `AWSServiceRoleForServiceCatalogOrgsDataSync` approuve les services suivants pour endosser le rôle :
+ `orgsdatasync.servicecatalog.amazonaws.com`
Le rôle `AWSServiceRoleForServiceCatalogOrgsDataSync` lié à un service nécessite que vous utilisiez la politique de confiance suivante en plus de la politique `AWSServiceCatalogOrgsDataSyncServiceRolePolicy` [gérée](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "orgsdatasync.servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
La politique d'autorisations de rôle nommée **AWSServiceCatalogOrgsDataSyncServiceRolePolicy** AWS Service Catalog permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `DescribeAccount`, `DescribeOrganization` et `ListAWSServiceAccessForOrganization` sur `Organizations accounts`
+ Action : `ListAccounts`, `ListChildren` et `ListParent` sur `Organizations accounts`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
### Création du rôle lié à un service `AWSServiceRoleForServiceCatalogOrgsDataSync`
Il n'est pas nécessaire de créer manuellement le rôle `AWSServiceRoleForServiceCatalogOrgsDataSync` lié à un service. AWS Service Catalog considère votre action consistant à activer [Partage avec AWS Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations) ou [Partage d'un portefeuille](catalogs_portfolios_sharing_how-to-share.md) AWS Service Catalog à autoriser la création d'un reflex en arrière-plan en votre nom.
AWS Service Catalog crée automatiquement le rôle lié au service pour vous lorsque vous le AWS Management Console demandez `EnableAWSOrganizationsAccess` ou `CreatePortfolioShare` dans AWS CLI l' AWS API.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous demandez `EnableAWSOrganizationsAccess` ou créez `CreatePortfolioShare` à AWS Service Catalog nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour AWS Service Catalog
AWS Service Catalog ne vous permet pas de modifier les rôles `AWSServiceRoleForServiceCatalogSync` ou les rôles `AWSServiceRoleForServiceCatalogOrgsDataSync` liés à un service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS Service Catalog
Vous pouvez utiliser la console IAM, la AWS CLI ou l' AWS API pour supprimer manuellement le `AWSServiceRoleForServiceCatalogSync` ou le `AWSServiceRoleForServiceCatalogOrgsDataSync` SLR. Pour ce faire, vous devez d'abord supprimer manuellement toutes les ressources qui utilisent le rôle lié au service (par exemple, tout AWS Service Catalog produit synchronisé avec un référentiel externe), puis le rôle lié au service peut être supprimé manuellement.
## Régions prises en charge pour les rôles AWS Service Catalog liés à un service
AWS Service Catalog prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [Régions et points de terminaison AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
****
| Nom de la région | Identité de la région | Support dans AWS Service Catalog |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Afrique (Le Cap) | af-south-1 | Oui |
| Asie-Pacifique (Hong Kong) | ap-east-1 | Oui |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Milan) | eu-south-1 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Moyen-Orient (Bahreïn) | me-south-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (USA Est) | us-gov-east-1 | Non |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Non |
# Résolution des problèmes AWS Service Catalog d'identité et d'accès
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS Service Catalog IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans AWS Service Catalog](#troubleshoot-one)
+ [Je ne suis pas autorisé à effectuer `iam:PassRole`](#troubleshoot-two)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes AWS Service Catalog ressources](#troubleshoot-five)
## Je ne suis pas autorisé à effectuer une action dans AWS Service Catalog
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion. L'exemple d'erreur suivant se produit lorsque l'utilisateur de mateojackson essaie d'utiliser la console pour afficher les détails d'une my-example-widget ressource fictive mais ne dispose pas des autorisations fictives`aws:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `my-example-widget` à l’aide de l’action `aws:GetWidget`.
## Je ne suis pas autorisé à effectuer `iam:PassRole`
Si vous recevez un message d'erreur selon lequel vous n'êtes pas autorisé à exécuter l'action `iam:PassRole`, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni votre nom d’utilisateur et votre mot de passe. Demandez à cette personne de mettre à jour vos politiques pour vous permettre de transmettre un rôle à AWS Service Catalog.
Certains AWS services vous permettent de transmettre un rôle existant à ce service, au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur nommé marymajor essaie d'utiliser la console pour effectuer une action dans AWS Service Catalog. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction du service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, Mary demande à son administrateur de mettre à jour ses politiques pour lui permettre d'exécuter l'PassRole action iam :.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes AWS Service Catalog ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si ces fonctionnalités sont prises [Gestion des identités et des accès AWSAWS Service Catalog en AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html) charge, consultez le *Guide de AWS Service Catalog l'administrateur*.
+ Pour savoir comment fournir un accès à vos ressources sur les AWS comptes que vous possédez, consultez la section [Fournir un accès à un utilisateur IAM sur un autre AWS compte que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des AWS comptes tiers, consultez la section [Fournir un accès aux AWS comptes détenus par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour découvrir quelle est la différence entre l’utilisation des rôles et l’utilisation des politiques basées sur les ressources pour l’accès entre comptes, consultez [Différence entre les rôles IAM et les politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) dans le *Guide de l’utilisateur IAM*.
# Contrôle de l'accès
un AWS Service Catalog portefeuille donne à vos administrateurs un certain niveau de contrôle d'accès pour vos groupes d'utilisateurs finaux. Lorsque vous ajoutez des utilisateurs à un portefeuille, ceux-ci peuvent parcourir et lancer n'importe lequel des produits du portefeuille. Pour de plus amples informations, veuillez consulter [Gestion des portefeuilles](catalogs_portfolios.md).
## Constaintes
Les contraintes déterminent les règles qui sont appliquées à vos utilisateurs finaux lors du lancement d'un produit à partir d'un portefeuille spécifique. Vous les utilisez pour appliquer des limites aux produits à des fins de contrôle de la gouvernance ou des coûts. Pour plus d'informations sur les contraintes, consultez [Utilisation des AWS Service Catalog contraintes](constraints.md).
AWS Service Catalog les contraintes de lancement vous permettent de mieux contrôler les autorisations requises par un utilisateur final. Lorsque votre administrateur crée une contrainte de lancement pour un produit d'un portefeuille, cette dernière associe un ARN de rôle qui est utilisé lorsque vos utilisateurs finaux lancent le produit à partir de ce portefeuille. À l'aide de ce modèle, vous pouvez contrôler l'accès à la création de AWS ressources. Pour de plus amples informations, veuillez consulter [AWS Service Catalog Contraintes de lancement](constraints-launch.md).